Клиент Центра обновления Windows только что был добавлен в список живых двоичных файлов (LoLBins), которые злоумышленники могут использовать для выполнения вредоносного кода в системах Windows. Загруженный таким образом вредоносный код может обойти механизм защиты системы.
как сделать группу в инстаграмм
Если вы не знакомы с LoLBins, это исполняемые файлы, подписанные Microsoft, загружаемые или поставляемые в комплекте с ОС, которые могут использоваться третьей стороной для избежания обнаружения при загрузке, установке или выполнении вредоносного кода. Клиент Центра обновления Windows (wuauclt), похоже, является одним из них.
Инструмент находится в папке% windir% system32 wuauclt.exe и предназначен для управления Центром обновления Windows (некоторыми его функциями) из командной строки.
Исследователь MDSec Дэвид Миддлхерст обнаружил что wuauclt также может использоваться злоумышленниками для выполнения вредоносного кода в системах Windows 10, загружая его из произвольной специально созданной библиотеки DLL со следующими параметрами командной строки:
wuauclt.exe / UpdateDeploymentProvider [путь_к_dll] / RunHandlerComServer
Часть Full_Path_To_DLL - это абсолютный путь к специально созданному файлу DLL злоумышленника, который будет выполнять код при подключении. Работая под управлением клиента Центра обновления Windows, он позволяет злоумышленникам обойти защиту от вирусов, контроля приложений и проверки цифровых сертификатов. Хуже всего то, что Миддлхерст также нашел образец, используя его в дикой природе.
как очистить рабочий диск в фотошопе
Стоит отметить, что ранее было обнаружено, что в Microsoft Defender включена возможность скачать любой файл из Интернета и обойти проверки безопасности. К счастью, начиная с версии 4.18.2009.2-0 клиента защиты от вредоносных программ в Защитнике Windows, Microsoft удалила соответствующий параметр из приложения, и его больше нельзя использовать для скрытой загрузки файлов.
Источник: Пищевой компьютер